j'entends bien vos remarques, mais nous ne devons pas travailler dans le meme type d'entreprise
J'ai toujours pu convaincre mes clients des nécessités d'un minimum de sécurité. Même des TPE. C'est une question de présentation des risques et des coûts associés à leur matérialisation.
je ne peux pas avoir de serveur d'occasion, un serveur sert ou ne sert pas, si il sert, il devient "critique" dans ce cas il fait l'objet d'une garantie.
(de la meme manière, je ne prend pas de poste de travail comme serveur, j'ai une salle serveur de petite taille, je rack obligatoirement)
Je ne partage pas votre façon de voir.
1. La notion de criticité est toute relative. Dans les PRA on trouve, plutôt que l'idée que tout est critique, une hiérarchisation des priorité et des objectifs de temps de rétablissement en fonction du degré de criticité. Je ne connais que très peu d'environnement où tout est critique. En fait je n'en ai rencontré qu'un seul.
2. Un serveur Exchange en frontal présente un gros, voire un très gros risque (AD, très grand nombre de processus actifs, etc ... ). Je connais des entreprises où la politique de sécurité stipule que les serveurs Windows sont interdits dans les dmz, même interne. La réduction du risque par l'ajout d'un relais smtp (un dl360 G2 / G3 d'occasion coûte environ 100 €) avec, comme contournement en cas de défaillance du relais (c'est là encore juste la réalisation d'un risque) , le retour à la configuration actuelle en moins de 30 mn (je fais très large) n'est elle pas préférable ? A mon sens entre deux risques vous choisissez actuellement celui qui est de très loin le plus fort avec la probabilité d'occurrence la plus grande. Voilà pourquoi la machine même d'occasion est préférable à mon sens. Pour l'usage d'un simple PC, je suis d'accord. Il ne résistera sans doute pas longtemps à un usage 24/7.
ca restera un bon argument pour virtualiser mes serveurs en dmz
J'en suis d'accord mais attention à la mise en œuvre.
combien de ports dois-je ouvrir pour y acceder du lan vs de l'exterieur
en fonction de la réponse le serveur est selon moi en dmz ou ds le lan
Le nombre de port n'est pas un critère valide d'un point de vue sécurité. Un seul port, peu importe lequel, permet en cas de faille la réalisation d'une intrusion. Par port ouvert on entend un port, sur une machine, qui va accepter pour TCP les paquets SYN. Dans ce cas la présence d'un mandataire, avec une éventuelle analyse des contenus applicatifs, est pratiquement indispensable. C'est bien le sens du trafic qui est un élément essentiel.
Bon courage pour la suite.